DOUBLEDROP

DOUBLEDROP Descripción

Los investigadores de seguridad han detectado una nueva campaña de ataque que involucra tres herramientas de malware nunca antes vistas. Las operaciones tuvieron lugar en diciembre de 2020 y consistieron en dos oleadas distintas de actividad. La infraestructura utilizada y las amenazas de malware muestran que los actores de las amenazas tienen experiencia y acceso a recursos suficientes. Los investigadores designaron a los piratas informáticos como UNC2529, mientras que las tres cepas amenazantes se denominaron DOUBLEDRAG, DOUBLEDROP y DOUBLEBACK.

La campaña de ataque implicó la difusión de correos electrónicos de phishing adaptados a cada víctima específica. Las entidades objetivo procedían de múltiples industrias verticales: fabricación militar, electrónica de alta tecnología, medicina y automoción. Si bien la mayoría estaban ubicadas en los EE. UU., También se detectaron víctimas potenciales en la región de EMEA (Europa, Oriente Medio y África), Asia y Australia. Los correos electrónicos de cebo fueron diseñados para que parezca que los envía un ejecutivo contable que ofrece servicios relacionados con las operaciones de la víctima.

La funcionalidad DOUBLEDROP

El malware DOUBLEDROP actuó como una herramienta de etapa intermedia responsable de buscar y ejecutar la carga útil final de la puerta trasera DOUBLEBACK en el sistema comprometido. Consiste en un script de PowerShell ofuscado que opera en la memoria. Viene con dos instancias de la herramienta de puerta trasera de la siguiente etapa y la que se ejecuta depende de si el sistema infectado se ejecuta en una arquitectura de 32 o 64 bits. Tanto DOUBLEDROP como DOUBLEBACK no existen en el sistema de archivos de la víctima y, en su lugar, se serializan en la base de datos del Registro.